Online marketingová činnost tvoří v dnešní době důležitou součást obchodní strategie téměř každého podnikatele, který chce být ve svém oboru úspěšný. Jednou z hlavních forem digitální marketingové komunikace je zasílání obchodních sdělení zákazníkům. Tento postup je spojen s celou řadou povinností, které podnikatelům ukládají příslušné právní předpisy. I přes širokou medializaci problematiky marketingových aktivit v online prostoru, která vyústila v přijetí výkladových stanovisek příslušných orgánů i odborných pracovních skupin, nemá dosud řada podnikatelů dostatečné znalosti o jednotlivých povinnostech, které při propagaci své činnosti musí dodržet. Sankce za jejich porušení přitom mohou dosahovat částek v řádu milionů a pro řadu podnikatelů mohou mít značný dopad do jejich majetkové sféry.
První část článku si můžete přečíst zde.
Právní základ zpracovávaných osobních údajů
V tomto případě je třeba rozlišovat mezi dvěma základními případy.
Prvně se jedná o zasílání obchodních sdělení stávajícím zákazníkům, které není podmíněno jejich souhlasem, a dále se jedná o případy, kdy je zasílání obchodních sdělení možné výhradně na základě uděleného souhlasu.[1]
Zpracování osobních údajů na základě tzv. oprávněného zájmu
Uvedená kategorie v zásadě pokrývá případy předpokládané v ust. § 7 odst. 3 zákona o některých službách informační společnosti, kdy může podnikatel při splnění zákonem vymezených podmínek zasílat obchodní sdělení svým zákazníkům i bez jejich souhlasu.
V právní teorii se pro tento postup vžil termín „přímý marketing“. S tímto termínem pracují i právní předpisy, konkrétně recitál 47 nařízení GDPR, který výslovně stanoví, že „zpracování osobních údajů pro účely přímého marketingu lze považovat za zpracování prováděné z důvodu oprávněného zájmu“.
V případně přímého marketingu lze tedy vycházet z toho, že právním základem pro zpracování osobních údajů je oprávněný zájem podnikatele dle čl. 6 odst. 1 písm. f) nařízení GDPR, podle něhož je „zpracování osobních údajů zákonné, je-li nezbytné pro účely oprávněných zájmů příslušného správce či třetí strany, kromě případů, kdy před těmito zájmy mají přednost zájmy nebo základní práva a svobody subjektu údajů vyžadující ochranu osobních údajů, zejména pokud je subjektem údajů dítě“.
Nařízení GDPR případy využití oprávněného zájmu jakožto jednoho z právních důvodů zpracování osobních údajů spojuje s relevantním vztahem mezi subjektem údajů (v tomto případě zákazníkem) a správcem (tedy podnikatelem) s tím, že existenci oprávněného zájmu je třeba posoudit vždy s přihlédnutím ke konkrétním okolnostem příslušného zpracování. Zásadní je přitom zhodnotit, zda subjekt údajů může v okamžiku a v souvislosti se shromažďováním jeho osobních údajů důvodně očekávat, že ke zpracování jeho osobních údajů pro uvedený účel může dojít.
Zpracování osobních údajů na základě souhlasu zákazníka
V případě, že nebudou naplněny podmínky pro zpracování osobních údajů pro účely tzv. přímého marketingu, je možné osobní údaje zákazníků zpracovávat za účelem zasílání obchodních sdělení pouze na základě jejich souhlasu.
Je třeba zdůraznit, že tento postup přichází v úvahu až v případě, že skutečně nejsou naplněny důvody pro zpracování osobních údajů na základě oprávněného zájmu. V praxi toto hodnocení často působí problémy, neboť řada správců osobních údajů se domnívá, že ve všech případech jimi prováděného zpracování je potřeba souhlas subjektu údajů.
Tento přístup často vede k tomu, že správci osobních údajů vyžadují souhlas subjektu se zpracováním osobních údajů i v případech, kdy je dán jiný zákonný důvod pro jejich zpracování.
Takové řešení nelze považovat za správné, neboť souhlas se zpracováním osobních údajů je třeba chápat v kontextu jeho subsidiarity. Pokud existuje jiný důvod pro zpracování osobních údajů, je třeba je zpracovávat na základě takového důvodu, nikoli na základě souhlasu subjektu údajů.
Za těchto okolností je souhlas nadbytečný a jeho získávání je považováno za obtěžující pro subjekty osobních údajů.
S ohledem na výše uvedený princip je třeba doporučit, aby podnikatelé, kteří zamýšlejí zasílat svým zákazníkům obchodní sdělení, nejprve pečlivě zhodnotili, zda za daných okolností nejsou dány důvody pro využití tzv. přímého marketingu. Teprve pokud dospějí k závěru, že nikoli, mohou se zaměřit na získání souhlasu zákazníků se zpracováním osobních údajů pro účely zasílání obchodních sdělení.
Dále je potřeba dbát na to, aby souhlas splňoval všechny podmínky stanovené v čl. 4 odst. 11 nařízení GDPR, podle něhož musí být svobodným, konkrétním, informovaným a jednoznačným projevem vůle, kterým subjekt údajů dává prohlášením či jiným zjevným potvrzením své svolení ke zpracování svých osobních údajů.
Podmínka svobodného udělení souhlasu je spojována s požadavkem dobrovolnosti, kdy zákazník nesmí být k jeho udělení žádným způsobem nucen, jeho udělení nelze ani žádným způsobem podmiňovat.
Požadavek konkrétnosti je naplněn tím, že souhlas je udělen ke konkrétnímu účelu zpracování, v posuzovaném případě pro účely zasílání obchodních sdělení. Zásadně není možné formulovat účel zpracování osobních údajů příliš obecným a vágním způsobem ve snaze rozšířit si možnosti pro zpracování osobních údajů.
Má-li být souhlas udělen jednoznačně, je třeba naplnit podmínku aktivního projevu vůle zákazníka např. v podobě zaškrtnutí elektronického zaškrtávacího políčka, nebo opatření příslušného formuláře podpisem zákazníka. Není přípustné využívat již předvyplněných zaškrtávacích políček, byť je tento postup v praxi dosud poměrně častý.
Poslední z požadavků se týká informovanosti subjektu údajů. V praxi to znamená, že je nutné zákazníkovi před udělením souhlasu poskytnout informace potřebné k tomu, aby se zákazník rozhodl, zda souhlas se zpracováním svých osobních údajů podnikateli udělí. Co se týče rozsahu takových informací, lze odkázat na výkladová stanoviska Evropského sboru pro ochranu osobních údajů,[2] konkrétně Pokyny 05/2020 k souhlasu podle nařízení GDPR,[3] kde jsou stanoveny minimální požadavky na informovanost subjektu údajů.
Podle těchto požadavků musí podnikatel poskytnout zákazníkovi před udělením souhlasu se zpracováním osobních údajů alespoň tyto informace:
- údaje o totožnosti podnikatele jakožto správce osobních údajů,
- údaje o účelu, pro který podnikatel osobní údaje zákazníka zpracovává,
- informace o právu zákazníka udělený souhlas odvolat,
- informace o použití osobních údajů k automatizovanému rozhodování, dochází-li k němu,
- informace o případných rizicích spojených s předáváním osobních údajů v důsledku absence rozhodnutí o přiměřenosti a vhodných zárukách, specifikovaných v čl. 46 nařízení GDPR.
V této souvislosti je třeba doplnit, že souhlas se zpracováním osobních údajů nemusí být písemný.
Tím není dotčena povinnost podnikatele prokázat, že mu zákazník souhlas se zpracováním osobních údajů pro účely zasílání obchodních sdělení udělil a že tento souhlas splňoval veškeré náležitosti. Za účelem splnění této povinnosti je zpravidla třeba využít vhodného softwarového řešení majícího příslušné funkce, jež umožňují uchování potřebných informací.
Informační povinnosti podnikatele vůči zákazníkům
Bez ohledu na skutečnost, zda jsou osobní údaje zákazníků pro účely zasílání obchodních sdělení zpracovávány na základě oprávněného zájmu podnikatele, nebo souhlasu zákazníka, je podnikatel povinen splnit vůči zákazníkovi svoji informační povinnost, jak je stanovena v čl. 13 nařízení GDPR. Zde uvedené povinnosti se vztahují na oba právní základy zpracování s drobnými odchylkami, které budou rozebrány v tomto textu dále.
Obligatorní informace, s nimiž je podnikatel povinen zákazníka nejpozději v okamžiku získání jeho osobních údajů seznámit, jsou stanoveny v čl. 13 odst. 1 nařízení GDPR.
V první řadě je podnikatel povinen poskytnout zákazníkovi údaje o své totožnosti spolu se svými kontaktními údaji. V praxi se jedná zpravidla o jméno a příjmení podnikající fyzické osoby či název společnosti v případě právnické osoby, adresu sídla, IČO a případné údaje o zápisu podnikatele – právnické osoby v obchodním rejstříku, dále e-mailová adresa a telefon a, je-li to relevantní, adresa webových stránek. To platí i pro případného zástupce podnikatele. Má-li podnikatel povinnost jmenovat pověřence pro ochranu osobních údajů, sdělí zákazníkovi rovněž kontaktní údaje této osoby.
Další informací, kterou je podnikatel povinen zákazníkovi sdělit, je informace o účelu zpracování a právním základu pro zpracování. V posuzovaném případě bude účelem zpracování zasílání obchodních sdělení zákazníkovi. Právním základem může být oprávněný zájem podnikatele či souhlas zákazníka, jak je v podrobnostech uvedeno v tomto textu shora. V případě, že je právním základem oprávněný zájem podnikatele, je nutné jej blíže specifikovat. Oprávněným zájmem je v tomto případě přímý marketing.
Mezi povinné informace dále patří údaj o příjemcích nebo kategoriích příjemců osobních údajů. Příjemce je nutné chápat jako fyzickou nebo právnickou osobu, které jsou osobní údaje poskytnuty, přičemž nařízení GDPR mezi příjemce řadí i orgány veřejné moci. Výjimkou jsou ty orgány veřejné moci, které mohou získávat osobní údaje v rámci zvláštního šetření v souladu s právem členského státu, v případě ČR se bude jednat o ÚOOÚ. V případě zpracování osobních údajů budou typickými příjemci externí dodavatelé softwarových služeb, kteří pro podnikatele zajišťují zpracování databáze zákazníků.[4]
Poslední z uvedených informaci se týkají případného úmyslu podnikatele předat osobní údaje do třetí země nebo mezinárodní organizaci a s tím spojené existence či neexistence rozhodnutí Evropské komise o odpovídající ochraně a ve vybraných případech předání rovněž odkaz na vhodné záruky a prostředky k získání kopie těchto údajů nebo informace o tom, kde byly tyto údaje zpřístupněny. V námi posuzovaném případě sem budou spadat zejména případy, kdy podnikatel využívá cloudových služeb ve třetí zemi.
Další oblast informačních povinností je stanovena v čl. 13 odst. 2 nařízení GDPR. Zatímco první okruh informací, jak jsou specifikovány shora, je podnikatel povinen sdělit zákazníkovi vždy, v tomto případě se informační povinnost na podnikatele vztahuje jen tehdy, jsou-li takové informace nezbytné pro zajištění spravedlivého a transparentního zpracování a zákazník je dosud nemá.
První z této kategorie je povinnost informovat zákazníka o době, po kterou budou osobní údaje uloženy, a nelze-li ji určit, o kritériích pro její stanovení. Maximální možná délka zpracování osobních údajů pro marketingové účely není stanovena, odborné názory se kloní k tomu, že vzhledem k tomu, že zákazník má v každém jednotlivém sdělení možnost jeho zasílání odmítnout, není třeba toto zpracování časově omezovat. Výjimku představují údaje o konkrétní nákupní historii zákazníka, které by neměly být zpracovávány po nepřiměřeně dlouhou dobu.[5]
Další informační povinnosti podnikatele se vztahují k právům zákazníka, která zákazníkovi v souvislosti se zpracováním osobních údajů náleží. Jedná se o právo na přístup k osobním údajům týkajícím se zákazníka, jejich opravu nebo výmaz, popř. omezení zpracování, a právo na přenositelnost údajů. Tato práva náleží zákazníkům bez ohledu na právní základ zpracování jejich osobních údajů.
V případě přímého marketingu, kdy je právním základem zpracování oprávněný zájem podnikatele, má zákazník právo vznést kdykoli námitku proti zpracování osobních údajů, které se ho týkají, pro tento marketing.[6] Na toto právo musí být zákazník výslovně upozorněn nejpozději v okamžiku první komunikace. Informace o právu vznést námitku proti zpracování osobních údajů pro účely přímého marketingu musí být uvedeny zřetelně a odděleně od jakýchkoli jiných informací.
V případě zpracování osobních údajů na základě souhlasu zákazníka musí být zákazník upozorněn také na právo tento souhlas kdykoli odvolat.
Při splnění shora uvedených podmínek je podnikatel povinen zákazníka rovněž informovat o jeho právu podat stížnost u dozorového úřadu, tedy u ÚOOÚ, a dále o skutečnosti, zda je poskytování zákonným, či smluvním požadavkem nebo požadavkem, který je nutné uvést do smlouvy, zda má povinnost osobní údaje poskytnout, a ohledně možných důsledků neposkytnutí těchto údajů.
Poslední z informací spadajících do tohoto okruhu je informace o případném automatizovaném rozhodování, včetně profilování, včetně smysluplné informace týkající se použitého postupu, jakož i významu a předpokládaných důsledků takového zpracování pro zákazníka.[7]
Závěrem je třeba doplnit, že uvedené informace musí zákazník obdržet nejpozději v okamžiku, kdy podnikatel získá jeho osobní údaje.
Není tedy přípustné, aby podnikatel, který disponuje osobními údaji svých zákazníků získanými pro jiné účely, bez dalšího začal těmto zákazníkům zasílat obchodní sdělení. Takový postup by byl v rozporu s čl. 13 odst. 3 nařízení GDPR, podle něhož musí podnikatel, který hodlá osobní údaje dále zpracovávat pro jiný účel, než je účel, pro který byly shromážděny, poskytnout zákazníkovi ještě před uvedeným dalším zpracováním informace o tomto jiném účelu a příslušné další informace uvedené v odstavci 2 citovaného článku.
Pokud tedy zákazník nebyl o zpracování svých osobních údajů informován již při jejich získání podnikatelem, musí podnikatel takového zákazníka před zpracováním pro tyto účely odpovídajícím způsobem informovat. Z podstaty přitom plyne, že takový postup přichází v úvahu výhradně při zasílání obchodních sdělení na základě oprávněného zájmu.
Správní pokuty
Porušení povinností týkajících se ochrany osobních údajů nařízení GDPR v čl. 83 sankcionuje správními pokutami, které mohou dosáhnout výše 20 000 000 eur, nebo, jedná-li se o podnik, až do výše 4 % celkového ročního obratu celosvětově za předchozí finanční rok, podle toho, která hodnota je vyšší. V případech upravených v § 63 zák. č. 110/2019 Sb., o zpracování osobních údajů, zákonodárce snížil horní hranici pokuty na 10 000 000 Kč.
U nevyžádaných telefonických obchodních sdělení ukládá sankce Český telekomunikační úřad. Za nevyžádaný telemarketing je možné udělit pokutu až 50 000 000 Kč nebo částku do výše 10 % z čistého obratu pachatele přestupku dosaženého za poslední ukončené účetní období.
V praxi je udělení pokuty v takové výši spíše nepravděpodobné, nicméně reálně nelze vyloučit sankce pohybující se v řádu statisíců či jednotek milionů. I taková pokuta může být pro řadu podnikatelů za určitých okolností až likvidační, a proto je třeba důsledně dbát na řádné plnění povinností, které předpisy na ochranu osobních údajů podnikatelům ukládají.
Dle názoru autorky přitom nelze vyloučit situaci, kdy podnikatel v souvislosti se zpracováním poruší své povinnosti uložené zákonem o některých službách informační společnosti (či jiným zákonem) i povinnosti v oblasti ochrany osobních údajů. Jelikož se jedná o dvě samostatné oblasti, může být takovému podnikateli uložena dvojí sankce.
Závěr
Je zřejmé, že platná právní úprava klade na podnikatele, kteří chtějí zákazníky informovat o marketingových aktivitách, značné nároky.
Takoví podnikatelé musí splnit nejen povinnosti, které jim ukládají předpisy upravující poskytování služeb prostřednictvím elektronických prostředků, ale musí dbát i na dodržování předpisů upravujících nakládání s osobními údaji zákazníků.
Je proto třeba, aby podnikatelé této problematice věnovali dostatečnou pozornost, v této oblasti se pravidelně vzdělávali a dbali rovněž na výběr správného softwarového řešení, jehož prostřednictvím v praxi plní řadu svých povinností.
Jen tak mohou snížit možná rizika spojená s porušením uvedených povinností v podobě vysokých finančních sankcí, příp. tato rizika zcela eliminovat.
Článek byl publikován v Advokátním deníku.
[1] Jedná se o dva nejčastější právní základy pro zpracování osobních údajů v souvislosti se zasíláním obchodních sdělení, které v praxi naprosto převažují.
[2] Jedná se o nezávislý evropský subjekt, který byl zřízen na základě nařízení GDPR a jehož hlavním úkolem je přispívat k jednotnému uplatňování pravidel ochrany údajů v celé Evropské unii.
[3] European Data Protection Board: Guidelines 05/2020 on consent under Regulation 2016/679 Version 1.1 Adopted on 4 May 2020, [online], European Data Protection Board, Brussels [cit. 15. 4. 2023], dostupné z: https://edpb.europa.eu/sites/default/files/files/file1/edpb_guidelines_202005_consent_en.pdf.
[4] Takový příjemce osobních údajů zákazníků bude rovněž jejich zpracovatelem, se kterým by podnikatel měl mít uzavřenu smlouvu o zpracování osobních údajů.
[5] Srov. Spolek pro ochranu osobních údajů: Poziční dokument Spolku pro ochranu osobních údajů k užití e-mailových adres a dalších souvisejících údajů pro nabídky zboží a služeb, verze 27. 2. 2019 [online], [cit. 12. 4. 2023].
[6] Což zahrnuje i profilování, pokud se týká tohoto přímého marketingu.
[7] Autorka se domnívá, že informace o automatizovaném rozhodování pro účely zasílání „běžných“ obchodních sdělení zpravidla nebudou relevantní. Jednou z podmínek, která musí být splněna, aby se jednalo o automatizované rozhodování, je, že musí takové rozhodování mít pro subjekt údajů právní účinky nebo se jej obdobným způsobem významně dotýkat. Uvedená podmínka v praxi ve většině případů naplněna nebude.
Diskuze k článku ()